内容发布更新时间 : 2024/5/20 0:48:01星期一 下面是文章的全部内容请认真阅读。

第三章 身份认证机制

学习目标：（方正大标宋简体四号）通过学习，要求了解在网络安全

中的用户身份认证机制的几种常见形式：口令机制、数字证书的身份认证以及基于IC卡和生物特征的身份认证的原理和应用。

引例：（方正大标宋简体四号）

用户身份认证是对计算机系统中的用户进行验证的过程，让验证者相信正在与之通信的另一方就是他所声称的那个实体。用户必须提供他能够进入系统的证明。身份认证往往是许多应用系统中安全保护的第一道防线，它的失败可能导致整个系统的崩溃，因此，身份认证是建立网络信任体系的基础。

3.1 口令机制（方正大标宋简体四号）

3.1.1什么是口令机制（黑体五号）

网络营销在计算机系统中口令机制是一种最常用、最简单的身份认证方法，一般由用户账号和口令（有的也称为密码）联合组成，如图3-1所示，口令用来验证对应用户账号的某人身份是否真的是计算机系统所允许的合法用户。

1

图3-1 QQ登陆时采用的口令认证机制

例如，当系统要求输入用户账号和密码时，用户就可以根据要求在适当的位置进行输入，输入完毕确认后，系统就会将用户输入的账号名和密码与系统的口令文件里的用户名和口令进行比较，如果相符，就通过了认证。否则拒绝登录或再次提供机会让用户进行认证。

基于口令的认证方式是最常用和最简单的一种技术，它的安全性仅依赖于口令，口令一旦泄露，用户就有可能被冒充，计算机系统的安全性也将不复存在。

在选用密码时，很多人习惯将特殊的日期、时间、或数字作为密码使用。例如将节假日、自己或家人的出生日期、家庭电话或手机号码身份证等数字作为密码，认为选择这些数字便于记忆。但是这些密码的安全性其实是很差的。

为什么这些口令不安全呢，我们还是先看看目前有哪些口令攻击的形式。 3.1.2什么是弱口令（黑体五号）

网络营销目前绝大多数计算机资源还是通过固定口令的方式来保护。而这种以固定口令为基础的认证方式存在很多问题，变得越来越脆弱。现在对口令的攻击主要包括以下几种：

1．字典攻击 主要攻击者将有可能作为密码的放入字典中，例如，一般用户最喜欢的使用的数字、有意义的单词等，然后使用字典中的单词来尝试用户的密码。图3-2是口令字典的截图，它们只是口令字典中的很少一部分。

2

图3-2 口令字典中用户喜欢的使用的数字

3